Zentrale Filterung von Spam und Viren am E-Mail-Server

Einführung

Zum zentralen Schutz vor Spam, Viren und anderen E-Mail-basierten Sicherheits-
bedrohungen wird an der Fachhochschule Dortmund Sophos Email Appliance (SEA) eingesetzt.

Es handelt sich um eine flexible und variable Gateway-Lösung, die zur Überprüfung des gesamten E-Mail-Verkehrs dient.

Ergänzt wird diese durch ein End User Web Interface (EUWI), welches dem einzelnen User die Möglichkeit gibt, geblockte E-Mails zu überwachen und einen Einfluss auf die Filterungskriterien zu nehmen.





Zur Sophos Email Appliance zählen:
  • ein Anti-Virus-Modul zum Schutz vor Viren, Würmern und Trojanern;
  • ein Anti-Spam-Modul zum Schutz vor Spam-Mails mit flexiblem Quarantäne-Management und Erkennungsraten von bis zu 98 Prozent;
  • ein Regelwerk (Policy-Management)-Modul zur Überprüfung, ob ein- und ausgehende E-Mails den mailspezifischen Regeln der FH Dortmund entsprechen.
Das Prinzip von Sophos Email Appliance basiert auf mehreren Spam-Tests, die die individuelle Charakteristik und Struktur jeder E-Mail analysieren. Jeder dieser Tests trägt über seine eigene numerische Gewichtung zur Gesamtbewertung der E-Mail bei, so dass eine errechnete Spam-Wahrscheinlichkeit von über 40% zurzeit folgende Maßnahmen anhand von definierten Filterregeln auslöst:

  1. Regel zur Wahrscheinlichkeit von 40% bis 60%:
    Die E-Mail wird zugestellt, wobei der Betreffzeile ein Spamverdacht vorangesetzt wird.
  2. Regel zur Wahrscheinlichkeit von 60% bis 90%:
    Die E-Mail wird dem Empfänger nicht zugestellt, bleibt aber dafür für 30 Tage in einer Quarantäne.
  3. Regel zur Wahrscheinlichkeit über 90%:
    Die Annahme der E-Mail wird verweigert und damit auch nicht in der Quarantäne aufbewahrt.
  4. Regel zu Suspected Attachments:
    Die E-Mails mit Suspected Attachments werden zugestellt.

Alle von außerhalb des FH-Netzwerkes stammenden und an die Domäne "fh-dortmund.de" gerichteten E-Mails werden von SEA auf Spam überprüft, nicht aber der innerhalb der FH-Domäne (fh-dortmund.de) stattfindende E-Mailverkehr.

Jedem Angehörigen der FH Dortmund mit einer E-Mail-Adresse „benutzername@fh-dortmund.de“ wird ein Zugang zum End User Web Interface eingerichtet. Damit wird dem Benutzer die Chance gegeben, die Filterfunktionen über einfache und überschaubare Optionen selbst zu bestimmen.

nach obennach unten

Anmeldung am End User Web Interface (EUWI)

Bitte einen Browser wie Mozilla Firefox oder Intenet Explorer starten und die folgende URL-Adresse aufrufen:

https://mailin2.fh-dortmund.de

In die daraufhin erscheinende Anmeldemaske tragen Sie bitte unter "Anmelden" Ihre FHKennung und unter "Kennwort" das dazugehörige Passwort ein. Danach klicken Sie bitte auf den Button "Login".

Hinweis:
Werden von Ihrem Browser Cookies nicht akzeptiert, so ist eine Anmeldung am End User Web Interface nicht möglich.

Es muss das Flag für Cookies aktiviert sein!

nach obennach unten

Erstes Bild nach der Anmeldung

Das erste Bild nach der Anmeldung zeigt immer das Ergebnis des E-Mail-Filters an - unter dem Menüpunkt "Abgeblockte E-Mails". Hier auf diesem Bild sind für den Benutzer keine E-Mails abgeblockt worden. Am linken Rand unter "Email Appliance" wird das gesamte Menü angezeigt, um weitere Funktion wie Hilfe, Optionen etc. nutzen zu können.

nach obennach unten

Zentralen Spamfilter generell deaktivieren

Falls Sie keinen persönlichen E-Mail-Filter (Spamfilter) nutzen wollen, klicken Sie in der linken Spalte auf "Optionen". Setzen Sie im Kästchen "Für meine E-Mails alle Abblockfunktionen für Spam und beleidigende Inhalte deaktivieren" den kleinen Haken.

Ihre E-Mail wird dann lediglich auf Viren geprüft .

Weitere Informationen finden Sie unter dem Punkt "Optionen für Ein- oder Ausschalten des Spamfilters und Digest".

nach obennach unten

Menü "Abgeblockte E-Mails" und dessen Verwaltung

Alle spamverdächtigen E-Mails, entsprechend der Spameinstufung von SEA, sind in die Quarantäne verschoben worden. Mehrere Verwaltungsmaßnahmen können nun ausgelöst werden.


Anhand der Bewertung, Absender oder Betreffzeile kann jeder Nutzer selbst herausfinden, ob eine E-Mail nicht zugestellt, sondern abgeblockt worden ist - also keinen Spam ("False Positive"!) darstellt. In diesem Fall in das entsprechende Kästchen links vor der betreffenden E-Mail einen Haken setzen und anschließend auf "E-Mail senden" klicken.


Die E-Mail wurde freigegeben und umgehend an Ihr Postfach gesendet.

E-Mails können nicht nur zur Zustellung und zugleich kann der Absender freigeben werden, sondern alle geblockten E-Mails können „vorläufig“ bzw. endgültig gelöscht werden.

Hinweis:
Falls der Inhalt der E-Mail angezeigt werden soll, dann bitte in der Spalte "Betreffzeile" entsprechendes Feld für den Betreff anklicken!

Wird eine E-Mail zugestellt und zugleich der Absender freigegeben, wird dieser Absender automatisch in die Liste der freigegebenen Absender übernommen. Absender, die in dieser Liste enthalten sind, werden künftig nicht mehr geblockt, auch wenn Sie von diesen eine Spam-Mail erhalten.

Geblockte E-Mails werden ohne "Aktion" nach 30 Tagen automatisch vom System entfernt.

nach obennach unten

Digest: Ein Feature zum automatischen Benachrichten des Spamfilter-Inhalts

Standardmäßig wird Ihnen einmal am Tag eine Digest-Mail zugestellt. In ihr sind alle Spam-Mails aufgelistet, die seit dem Versenden des letzten Digests eingegangenen sind. Unter einer Digest-Mail wird in diesem Zusammenhang eine Sammelliste/Aufstellung über alle geblockten E-Mails verstanden.

Die tägliche Digest-Mail erkennen Sie in Ihrem Postfach an dem Betreff:
„Spam und Massennachrichten in der Quarantäne seit z.B. Sep 06 15:00“
. In diesem Fall haben Sie die folgenden Möglichkeiten mit ihr umzugehen:
  • Um eine einzelne E-Mail aus der Quarantäne in Ihr Postfach zu holen, gehen Sie im Digest auf die Spalte ID und klicken die ID mit dem Link der entsprechenden zuzustellenden E-Mail an. Es öffnet sich eine Antwort-E-Mail, die nach dem Senden die gesperrte E-Mail aus der Quarantäne in Ihr Postfach frei gibt.
  • Sollen hingegen sämtliche, der in dem Digest aufgelisteten, E-Mails zugestellt werden, dann antworten Sie einfach auf die Digest-E-Mail.
nach obennach unten

Optionen für Ein- oder Ausschalten des Spamfilters und Digest

Wie in den vorangestellten Punkten erwähnt, werden standardmäßig tägliche Digests der abgeblockten Spammails versendet. Im Menüpunkt "Optionen" unter „Vorgaben für das Mail-Filtering“ wird dieses mit dem Häkchen bei

"Ich möchte regelmäßig über abgeblockte E-Mails benachrichtigt werden."

gesetzt.

Generell sollte sich jeder Benutzer darüber Gedanken machen, ob überhaupt ein persönlicher Spamfilter genutzt werden soll oder die Standardmaßnahmen ausreichend sind. Ratsam ist es, sich gerade in der Anfangsphase eine tägliche Digest-E-Mail zukommen zu lassen, um für sich die Qualität des Spamfilters abschätzen zu können.

Der Spamschutz ist standardmäßig immer eingeschaltet bzw. automatisch wirksam. Wenn doch der Wunsch besteht, auf diesen zentralen Service zu verzichten, dann setzen Sie im Kästchen vor

"Für meine E-Mails alle Abblockfunktionen für Spam und beleidigende Inhalte deaktivieren"

einen kleinen Haken. Ihre E-Mails werden dann lediglich auf Viren geprüft.

E-Mails, die sich in der Quarantäne befinden, werden vom System nach 30 Tagen endgültig gelöscht. Um über die, in die Quarantäne verschobenen, E-Mails durch eine Digest-Mail informiert zu werden, muss diese Funktion eingeschaltet sein.

Weiterhin kann in dem Menü "Optionen" die Sprache des End User Web Interfaces eingestellt werden. Damit die durchgeführten Änderungen übernommen werden, ist der Button "Speichern" zu betätigen. Die Einstellungen werden abhängig vom allgemeinen Mailbetrieb nach spätestens 10 Minuten wirksam.

nach obennach unten

Menü "Gelöschte E-Mails"

Alle E-Mails, die unter dem Menü "Abgeblockte E-Mails" gelöscht worden sind, werden hier angezeigt. Es besteht die Möglichkeit, die Löschung bei Bedarf rückgängig zu machen. Dazu wird das Kästchen neben der E-Mail mit einem Haken versehen und der Button "Löschen der E-Mail rückgängig machen" angeklickt.


Allgemein gilt: Alle in der Quarantäne befindlichen E-Mails, die älter als 30 Tage sind, werden generell nur vom System endgültig gelöscht!

nach obennach unten

Menü Freigegebene Sender

Hier können Sie explizit festlegen, von welchen E-Mail-Adressen ankommende E-Mails, unabhängig von ihrer Spamwahrscheinlichkeit, grundsätzlich zugestellt werden sollen. Die Formulierung der Filter-Regel muss sehr exakt erfolgen, um wirklich nur die gewünschte Wirkung zu erzielen.

Einen neuen Sender können Sie mit einem Klick auf den Button „Sender hinzufügen“ bekommen.


Die Adresse des Senders eintragen und dabei die gültige Namens-Konvention beachten, anschließend auf den Button „Sender hinzufügen“ drücken.


Der neue Sender befindet sich jetzt in der Liste.

nach obennach unten

Menü "Abgeblockte Sender"

Hier können Sie explizit festlegen, von welchen E-Mail-Adressen ankommende E-Mails grundsätzlich geblockt werden sollen. Dies ist unabhängig von ihrer Spamwahrscheinlichkeit.

Zur Liste der abgeblockten Sender können Sie über den Button „Sender hinzufügen“ zur nächsten Aufforderung bezüglich der Adresse des Senders gelangen.


Die Adresse des abzublockenden Senders eintragen und dabei die gültige Namens-Konvention beachten, anschließend auf den Button „Sender hinzufügen“ drücken.


Das obige Bild zeigt eine exemplarische Liste der abgeblockter Sender, in der auch der neue Sender aufgeführt wird.

Da SPAM-Versender die Absender-Adressen ständig ändern, macht die Verwendung dieser Seite nur in Ausnahmefällen Sinn.
nach obennach unten

Erkennung von "suspected Attachments"

Für alle E-Mail-Filter gibt es das Problem mit dem, einer E-Mail, angefügten Anhang, z.B. einer ausführbaren Datei ("*.exe"). Dieser Dateityp ist normalerweise ein binäres Programm, welches per E-Mail transferiert werden soll. In den Anfängen des Internetverkehrs war der Transport dieser Dateien über den E-Mail-Dienst problemlos möglich.

Mit gefährlich anwachsender Anzahl von Viren in den Anhängen, die der Empfängerseite absichtlichen Schaden zufügen wollen, werden Dateien mit folgenden Endungen als "suspect" eingestuft:

*.*.exe *.bat *.cpl *.hta *.msc *.reg *.vb
*.*.lnk *.chm *.crt *.inf *.msi *.scr *.vbe
*.*.pif*.cla *.email*.ins*.mst *.sct *.vbs
*.ade *.class*.eml *.js *.ocx *.shb *.wsc
*.adp*.cmd *.exe*.jse *.pcd *.shs *.wsf
*.bas*.com *.hlp*.lnk *.pif *.url *.wsh

Wenn "suspect"-Dateien per E-Mail verschickt werden müssen, hat sich die folgende gängige Praxis bewährt:

Die absendende Seite sollte eine "suspect"-Datei zunächst in ein Archiv ( z.B. zip, rar, ace) packen, anschließend das Archiv der E-Mail als Attachment hinzufügen und erst dann absenden.

Hierbei sollte immer beachtet werden, dass die meisten Mailserver die Kapazität für die E-Mail-Übertragung begrenzen! Bei uns beträgt die maximale Größe für den Transfer der gesamten E-Mail 40 MB.

Hinweis:
Wird eine ungepackte Word-Datei angehängt, verdoppelt sich ihre Größe bei der Übertragung.

nach obennach unten

Zentraler Einsatz von Sophos Email Appliance an der FH Dortmund

Die Vorteile für den zentralen Einsatz von SEA sind zum einen die Entlastung der Angehörigen der FH Dortmund von den Unmengen an Spam-Mails beim täglichen Öffnen des elektronischen Postfaches und zum anderen eine höhere Sicherheit und Effizienz im innerbetrieblichen Mailverkehr.

Viele E-Mail-Benutzer bekommen am Tag mehr als 30 Spams zugeschickt. Bei einer dezentralen Betrachtung müsste jeder Nutzer seine Spams zeitaufwendig manuell aussortieren und außerdem andere Spamfilter-Techniken der Browser bzw. einen Open-Source Schutz wie SpamPal anwenden. Die Zeit für Installation, Kontrolle und Überwachung sowie die Investition in das Know-how jedes einzelnen Nutzers wäre unverhältnismäßig.

Bei dem zentralen Einsatz einer hochprofessionellen Software wie Sophos Email Appliance besteht immer ein Restrisiko, dass eine "wahre" bzw. "echte" E-Mail ("True Negative" aus der Sicht des Spamfilters!) nicht zugestellt wird und zunächst in der Quarantäne verharrt.

Um dieses zu vermeiden, empfehlen wir unseren Nutzern das hier vorgestellte End User Web Interface zu verwenden.

Wichtiges auf den Punkt gebracht

  1. Eine E-Mail wird als Spam-Mail erkannt. (Die Benachrichtigung via Spam-Digest ist möglich!)
    • Erfolgt die Quarantäne aufgrund der Spamklassifizierung, erhält der E-Mail-Adressat einmal am Tag per E-Mail einen Digest über die in Quarantäne genommenen Spam-Mails.
    • Der Digest kann jederzeit durch den Benutzer abgeschaltet werden.
    • Die geblockten Spam-Mails werden sowohl im End User Web Interface unter dem Menü "Geblockte E-Mails" als auch im Spam-Digest aufgelistet.
  2. Eine E-Mail enthält einen Virus.(Die Benachrichtigung via Spam-Digest ist möglich!)
    • Erfolgt die Quarantäne aufgrund eines identifizierten Virus, wird der Virus entfernt und die Mail mit einer entsprechenden Meldung ergänzt.
    • Die Erfahrung hat gezeigt, dass fast alle eingehenden E-Mails mit Virenanhängen keine bewusst gesendeten Nachrichten darstellen, sondern von mit Viren befallenen Systemen automatisch erzeugt wurden. Um Ihre Mailbox nicht unnötig zu belasten, wird diese "Rest-Mail" vom System wie eine Spam-Mail behandelt und ebenso geblockt.
    • Letztendlich bleibt es Ihnen überlassen, sich mit dem Absender in Verbindung zu setzen, um eine virenfreie Version der E-Mail zu bekommen. In vielen Fällen ist von einem Kontakt abzuraten, da die E-Mail-Absenderadressen häufig gefälscht sind.
    • Die geblockten virus-bereinigten E-Mails werden sowohl im End User-Web Interface unter dem Menü "Geblockte E-Mails" als auch im Spam-Digest aufgelistet.